يك كمپين هك گسترده، شركت‌هاي سراسر دنيا را هدف قرار داده است

امنيت
دوشنبه ۳ آذر ۱۳۹۹ - ۰۹:۴۰
مطالعه 5 دقيقه
مرجع متخصصين ايران
مصطفي عسگري
مرجع متخصصين ايران
يك كمپين هك كه احتمالا از سوي دولت چين تغذيه مي‌شود، شركت‌هاي سراسر دنيا را كه با ژاپن ارتباط دارند مورد حمله قرار مي‌دهد.
تبليغات

تاكنون شركت‌هاي مختلفي توسط هكرها مورد حمله قرار گرفته‌اند. اين اتفاق يكي از رايج‌ترين شيوه‌هاي هك در عصر حاضر است؛ زيرا شركت‌هاي بزرگ داراي اطلاعات بسيار ارزشمندي هستند كه توجه هر سودجويي را به خود جلب مي‌كند. اما اشكال اصلي زماني آغاز مي‌شود كه يك گروه تصميم به هك كردن تعداد زيادي از شركت‌ها بگيرند. زماني‌كه چنين اتفاقي رخ مي‌دهد افراد بسيار بيشتري درگير اين مسئله مي‌شوند و شرايط خطرناك‌تر خواهد بود. هرچه سيستم‌هاي امنيتي پيشرفته‌‌‌‌‌‌تر شوند، هكرها هميشه راهي براي نفوذ پيدا مي‌كنند. به‌تازگي گزارشي در فضاي مجازي منتشر شده است كه از يك گروه هكر قدرتمند خبر مي‌دهد.

مرجع متخصصين ايران هك جهاني

محققان موفق به كشف گروهي شده‌اند كه در قالب يك كمپين، از ابزارها و روش‌هاي پيچيده براي نفوذ به شبكه‌ي شركت‌ها در سراسر جهان استفاده مي‌كند. اين هكرها كه به احتمال زياد از يك گروه معروف هستند كه بودجه آن‌ها توسط دولت چين تأمين مي‌شود،‌ از دو دسته ابزار مختلف استفاده مي‌كنند؛ بعضي از اين ابزارها معمولي هستند و دسته‌ي ديگر سفارشي‌شده و اختصاصي. يكي از ابزارهاي مذكور از Zerologon استفاده مي‌كند؛ كه به يك آسيب‌پذيري در سرور ويندوز گفته مي‌شود. البته پچ امنيتي مربط به آن در ماه آگوست منتشر شده است. اين اشكال مي‌تواند به مهاجمان امكان دسترسي سريع به سيستم‌هاي آسيب‌پذير بدهد.

مرجع متخصصين ايران هك شده

شركت امنيتي سيمانتك (Symantec) از نام رمز Cicada براي اين گروه استفاده مي‌كند كه به اعتقاد عموم بودجه‌ي آن توسط دولت چين تأمين مي‌شود. گروه Cicada كه هيچ ارتباط و وابستگي به شركت‌هاي ديگر ندارد، حداقل از سال ۲۰۰۹ در هك به سبك جاسوسي فعال بوده است و تقريبا به‌طور انحصاري شركت‌هاي مرتبط با ژاپن را هدف قرار مي‌دهد. نكته جالب اين‌جا است‌كه شركت‌هاي هدف اين كمپين در ايالات متحده آمريكا و ساير كشورها مستقر هستند؛ اما همه آن‌ها به گونه‌اي با ژاپن يا شركت‌هاي ژاپني پيوند دارند. اين يعني هدف اصلي اين گروه ضربه زدن به ژاپن و شركت‌هاي اين كشور است.

محققان شركت امنيتي سيمانتك در گزارشي اعلام كردند:

... با دامنه‌ي گسترده صنايع مورد هدف اين حملات، سازمان‌هاي ژاپني در همه بخش‌ها بايد آگاه باشند كه در معرض خطر اين نوع فعاليت‌ها هستند.

در اين حملات از DLL loading side استفاده گسترده‌اي مي‌شود؛ اين روشي است كه در آن، مهاجمان يك جزوه رايگانخانه‌ي ويندوز را با يك فايل مخرب جايگزين مي‌كنند. مهاجمان از DLL loading side براي تزريق بدافزار به فرآيندهاي قانوني استفاده مي‌كنند تا بتوانند مانع از شناسايي هك توسط نرم‌افزار امنيتي شوند.

اين كمپين همچنين از ابزاري استفاده مي‌كند كه توانايي بهره‌برداري از باگ Zerologon دارد. هكرها در اين روش با ارسال يك رشته صفر در سري پيام‌هايي كه از پروتكل Netlogon بهره مي‌برند، سرورهاي ويندوز را كه براي ورود متخصصان به شبكه‌ از آن‌ها استفاده مي‌شود به اشتباه مي‌اندازند. هكرها مي‌توانند از باگ امنيتي Zerologon براي دسترسي به كنترل‌كننده‌هاي دامنه Active Directory دسترسي پيدا كنند و از آن استفاده كنند؛ اين بخش مانند يك دروازه‌بان قدرتمند براي همه ماشين‌هاي متصل به شبكه عمل مي‌كند.

مقاله‌هاي مرتبط:

مايكروسافت در آگوست پچ امنيتي اين آسيب‌پذيري جدي را براي افزايش امنيت متخصصان خود منتشر كرد. اما از آن زمان، مهاجمان از اين باگ براي نفوذ به سازمان‌هايي كه هنوز اين پچ امنيتي را نصب نكرده‌اند، استفاده مي‌كنند. FBI و سازمان امنيت داخلي ايالات متحده خواستار آن شده‌اند كه بلافاصله سيستم‌ها از اين پچ براي مقابله با نفوذ اين افراد استفاده كنند.

از جمله سيستم‌هايي كه در هنگام حملات كشف‌شده توسط سيمانتك به خطر افتاده‌اند، مي‌توان به ‌كنترل‌كننده‌هاي دامنه (Domain Controllers) و سرورهاي فايل (File Fervers) اشاره كرد. محققان اين شركت همچنين شواهدي در مورد فايل‌هاي فاش‌شده از برخي دستگاه‌هاي آسيب‌ديده كشف كردند.

كپي لينك

مناطق و صنايع مختلف هدف

اهداف اين گروه سودجو از بخش‌هاي مختلف صنعت هستند؛ شامل:

  • خودروسازي و شركت‌هاي سازنده قطعات خودرو (مهم‌ترين اهداف مهاجمان) 
  • پوشاك
  • الكترونيك
  • مهندسي
  • شركت‌هاي بازرگاني عمومي
  • دولت
  • محصولات صنعتي
  • ارائه‌دهندگان خدمات مديريت‌شده
  • ساخت و ‌ساز
  • دارويي
  • خدمات حرفه‌اي

در ادامه نقشه‌اي از مكان جغرافيايي اهداف آورده شده است:

مرجع متخصصين ايران هك cicada

سيمانتك توانسته است حملات مختلف را بر اساس اثر انگشت ديجيتال بدافزار و كد حمله به Cicada مرتبط كند. اثر انگشت مذكور شامل تكنيك‌هاي مبهم‌سازي و كدي است كه در بارگيري جانبي DLL استفاده شده. همچنين ويژگي‌هايي كه در ادامه ذكر شده‌اند به ما از اطلاعات اثر انگشت ديجيتال اين گروه خبر مي‌دهند. اين موارد در سال ۲۰۱۹ توسط شركت امنيتي Cylance كشف شده بودند:

  • مرحله سوم DLL داراي يك نام خاص و مشخص است.
  • مرحله سوم DLL از روش CppHostCLR براي تزريق و اجراي مجموعه NET استفاده مي‌كند.
  • فايل .NET Loader با ConfuserEx v1.0.0 مبهم‌سازي شده است.
  • فايل نهايي QuasarRAT است كه درواقع يك راه نفوذ منبع باز محسوب مي‌شود و پيش‌تر توسط Cicada استفاده شده است.

محققان سيمانتك نوشتند:

مقياس عمليات به توانايي‌هاي گروه Cicada اشاره دارد. هدف قرار دادن چندين سازمان بزرگ در جغرافياي مختلف به‌طور هم‌زمان، به منابع و مهارت‌هاي زيادي نياز دارد كه به‌طور كلي فقط در گروه‌هاي تحت حمايت دولت‌ها ديده مي‌شود. پيوندي كه همه قربانيان به ژاپن دارند نيز به Cicada اشاره دارد؛ زيرا در گذشته سازمان‌هاي ژاپني هدف اصلي اين گروه بودند.

اين متن به اين مسئله اشاره دارد كه احتمالا اين گروه به‌طور مستقيم از دولت چين تغذيه مي‌شوند و وظيفه‌ي اصلي آن‌ها حمله به سازمان‌هاي ژاپني است؛ البته اين ادعا هنوز به اثبات نرسيده است. تاكنون شركت‌هاي زيادي توسط اين گروه مورد حمله قرار گرفته‌اند و اطلاعات زيادي از آن‌ها فاش شده است.

انديشه متخصصينات شما متخصصان اخبار تخصصي، علمي، تكنولوژيكي، فناوري مرجع متخصصين ايران درباره‌ي گروه Cicada چيست؟ آيا به ‌انديشه متخصصين شما اين هكرها از سوي دولت چين براي نابودي شركت‌هاي ژاپني تأمين مي‌شوند؟

مقاله رو دوست داشتي؟
انديشه متخصصينت چيه؟
تبليغات
جديد‌ترين مطالب روز

هم انديشي ها

تبليغات

با چشم باز خريد كنيد
اخبار تخصصي، علمي، تكنولوژيكي، فناوري مرجع متخصصين ايران شما را براي انتخاب بهتر و خريد ارزان‌تر راهنمايي مي‌كند
ورود به بخش محصولات
موبايل
تبلت
لپ‌تاپ
تلويزيون
ساعت هوشمند
هدفون
هارد
كنسول بازي
كارت گرافيك
پردازنده
مانيتور
SSD
دوربين‌
پاوربانك
شارژر
اسپيكر